📄 الوصف (الإنجليزية)
ActiveFax Server 6.92 Build 0316 contains an unquoted service path vulnerability in the ActiveFaxServiceNT service that allows local attackers to potentially execute arbitrary code. Attackers can exploit the unquoted binary path to inject malicious executables that will be launched with elevated administrative privileges.
🤖 ملخص AI
CVE-2019-25310 is a local privilege escalation vulnerability in ActiveFax Server 6.92 affecting the ActiveFaxServiceNT service through an unquoted service path. Attackers with local access can inject malicious executables into the service path to execute arbitrary code with SYSTEM privileges. While no public exploit exists, the vulnerability is straightforward to exploit and poses significant risk to organizations using this legacy fax server software.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Apr 27, 2026 05:19
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi government agencies, healthcare institutions, and financial services organizations that rely on legacy fax infrastructure for document transmission and archival. Government entities under NCA oversight and SAMA-regulated financial institutions using ActiveFax for secure document handling are at elevated risk. The vulnerability enables local privilege escalation, allowing compromised user accounts or insider threats to gain SYSTEM-level access to critical fax servers managing sensitive communications.
🏢 القطاعات السعودية المتأثرة
Government
Healthcare
Banking and Financial Services
Telecommunications
Energy and Utilities
🎯 تقنيات MITRE ATT&CK
T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1547.011 - Boot or Logon Autostart Execution: Services
T1134.003 - Access Token Manipulation: Make and Impersonate Token
T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt
T1574.008 - Hijack Execution Flow: DLL Search Order Hijacking
T1036.003 - Masquerading: Rename System Utilities
T1543.003 - Create or Modify System Process: Windows Service
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE ACTIONS:
- Identify all systems running ActiveFax Server 6.92 Build 0316 through asset inventory and network scanning
- Restrict local access to fax servers through physical security and access controls
- Implement application whitelisting to prevent unauthorized executable execution
- Monitor service startup logs for suspicious process launches
2. PATCHING GUIDANCE:
- Upgrade ActiveFax Server to version 6.93 or later immediately
- Apply vendor security patches as they become available
- Test patches in isolated environment before production deployment
3. COMPENSATING CONTROLS (if immediate patching not possible):
- Implement file integrity monitoring on ActiveFax installation directories
- Use Windows AppLocker to restrict executable execution in service paths
- Deploy endpoint detection and response (EDR) solutions to detect privilege escalation attempts
- Enforce principle of least privilege for service accounts
4. DETECTION RULES:
- Monitor for suspicious file creation in Program Files\ActiveFax directories
- Alert on ActiveFaxServiceNT service restart with unusual parent processes
- Track failed and successful privilege escalation attempts in Windows Event Logs (Event ID 4688, 4689)
- Monitor registry modifications to service path configurations
🔧 خطوات المعالجة (العربية)
1. الإجراءات الفورية:
- تحديد جميع الأنظمة التي تقوم بتشغيل ActiveFax Server الإصدار 6.92 Build 0316 من خلال جرد الأصول والمسح الشبكي
- تقييد الوصول المحلي إلى خوادم الفاكس من خلال الأمان المادي والتحكم في الوصول
- تنفيذ قائمة بيضاء للتطبيقات لمنع تنفيذ الملفات التنفيذية غير المصرح بها
- مراقبة سجلات بدء تشغيل الخدمة للعمليات المريبة
2. إرشادات التصحيح:
- ترقية ActiveFax Server إلى الإصدار 6.93 أو أحدث على الفور
- تطبيق تصحيحات أمان المورد عند توفرها
- اختبار التصحيحات في بيئة معزولة قبل نشرها في الإنتاج
3. الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
- تنفيذ مراقبة سلامة الملفات على دلائل تثبيت ActiveFax
- استخدام Windows AppLocker لتقييد تنفيذ الملفات التنفيذية في مسارات الخدمة
- نشر حلول الكشف والاستجابة للنقاط النهائية (EDR) للكشف عن محاولات تصعيد الامتيازات
- فرض مبدأ أقل امتياز لحسابات الخدمة
4. قواعد الكشف:
- مراقبة إنشاء ملفات مريبة في دلائل Program Files\ActiveFax
- تنبيه عند إعادة تشغيل خدمة ActiveFaxServiceNT مع عمليات أب غير عادية
- تتبع محاولات تصعيد الامتيازات الفاشلة والناجحة في سجلات أحداث Windows (معرف الحدث 4688، 4689)
- مراقبة تعديلات السجل لتكوينات مسار الخدمة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies
ECC 2024 A.5.2.1 - User Registration and De-registration
ECC 2024 A.5.3.1 - Access Rights Review
ECC 2024 A.8.1.1 - Information Security Awareness
ECC 2024 A.12.2.1 - Change Management
ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software Inventory
SAMA CSF PR.AC-1 - Access Control Policy
SAMA CSF PR.PT-2 - Removable Media Protection
SAMA CSF DE.CM-1 - Anomalous Activity Detection
SAMA CSF RS.MI-2 - Incident Response Procedures
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for Information Security
ISO 27001:2022 A.5.3 - Segregation of Duties
ISO 27001:2022 A.8.1 - User Endpoint Devices
ISO 27001:2022 A.12.2 - Change Management
ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities